Сравнение эффективности проактивной антивирусной защиты (тест I)Источник: anti-malware
В данном тесте проводится сравнение эффективности работы проактивной защиты (в частности эвристических анализаторов) в 16-ти различных персональных антивирусных продуктах. Последнее время в индустрии и средствах массовой информации все больше внимания уделяется так называемым проактивным методам антивирусной защиты, которые позволяют антивирусу противостоять еще неизвестным видам и модификациям вредоносных программ. Можно даже сказать, что данное направление развития антивирусных технологий является наиболее модным на рынке, и почти каждый производитель пытается подчеркнуть, что именно его проактивная защита лучшая. Более того, делаются попытки в каком-то смысле даже противопоставить новейшие проактивные технологии прежним реактивным (классическим), которые основываются на сигнатурных методах обнаружения вредоносных программ и требуют постоянного и оперативного обновления антивирусных баз данных. Сама концепция проактивной защиты, безусловно, выглядит очень привлекательно: вирус еще не появился, а защита от него уже есть. Но возникает резонный вопрос, как обстоят дела с эффективностью этой самой проактивной защиты? Ведь вирусописатели не дремлют, находят все новые и новые возможности атак, противодействия защите и т.д., поэтому можно сказать, что создать универсальное противоядие от всех возможных в будущем угроз в принципе невозможно. Сразу оговоримся, что проактивные технологии - довольно обширное понятие, включающее в себя множество направления и составляющих, охватить их всех в рамках одной статьи и тем более одного теста невозможно. Поэтому далее мы будет говорить и сравнивать эвристические анализаторы или просто эвристики. Давайте попробуем ответить на вопросы: "Насколько эффективны проактивные технологии сейчас? Какой антивирус лучше защищает от новых, еще неизвестных видов угроз?" Чтобы понять это обратимся к последнему тесту проактивных защит в наиболее популярных антивирусных продуктах, проведенному в мае 2006 года Андреасом Клименти (проект www.av-comparatives.org), одним из ведущих независимых исследователей антивирусных технологий. Методика тестирования эвристических анализаторовВ тесте принимали участие 16 антивирусных программ, среди которых:
Для проверки работы эвристических анализаторов, все 16 антивирусов были "заморожены" на три месяца с 6-го февраля по 6-е мая 2006 года, т.е. после 6-го февраля у них не производились никакие обновления антивирусных баз. Таким образом, все экземпляры вирусов, собираемые за эти три месяца, должны были быть для антивирусов новыми, так как антивирусные базы данных сигнатур за это время не обновлялись. Всего за три месяца Клименти было собрана коллекция из новых 8745 новых вирусов, червей, троянов и других вредоносных программ, которая проверялась сканером по требованию каждым тестируемым антивирусом с максимальными настройками.
Результаты тестирования с разбивкой по категориямВ следующей таблице представлены подробные результаты тестирования с разбивкой по категориям в вирусной коллекции. Для каждой категории вирусов в заголовке таблицы в скобках указано количество экзепляров, в ячейках - количество детектированных вирусов и их процент от общего количества.
На рисунке ниже для удобства представлены суммарные результаты эффективности работы эвристических анализаторов в различных персональных антивирусах. Рисунок 1: Эффективность проактивной антивирусной защиты
ВыводыКак видно из таблицы и рисунка выше, лучшую эффективность среди эвристических анализаторов показал антивирус Eset Nod32 Anti-Virus - 58% от общего количества вредоносных программ. Совсем немного позади его VBA32 Workstation и AVIRA Antivir Personal Edition Premium - 56% и 54% соответственно. Если посмотреть подробно на результаты первой тройки, то видно серьезное преимущество этих антивирусов над конкурентами по трем основным категориям вредоносных программ: трояны, черви и бекдоры. Например, Eset Nod32 детектировал 81% червей, что значительно выше, чем у конкурентов.
Пятерку лучших замыкают AntiVirusKit (AVK), использующий движки от BitDefender и Лаборатории Касперского, и TrustPort Antivirus, также использующий "чужие" движки от BitDefender и Norman. Их результаты составили 50% и 48% соответственно. Совсем немного отстав от первой 5-ки, расположились антивирусы BitDefender и Dr.Web, чьи результаты работы эвристических анализаторов (45%) можно считать очень приличным. Все остальные антивирусы показали низкий уровень детектирования "неизвестных вирусов", не превзойдя уровень 30%. В том числе в группу аутсайдеров попали такие именитые антивирусные продукты как McAfee VirusScan, Norton Anti-Virus (с очень низким результатом в 16%), а также Norman VirusControl, F-Secure Anti-Virus, Kaspersky Anti-Virus, Avast! Professional. Замыкают таблицу F-Prot Anti-Virus и AVG Professional. Не стоит забывать и об обратной стороне работы любой проактивной технологии и эвристики в частности - ложных срабатываниях, которые, безусловно, почти всегда имеют место, но этот вопрос мы оставим для следующей отдельной статьи. |